Feedback
Varan har lagts till i varukorgen

Mobilt och outsourcing ger data på drift

15 april 2013
Att lägga datalagring eller drift av IT utanför den egna organisationen har sina fördelar. Konsekvenserna kan dock bli stora och svåra att överblicka om något går fel.
Mobila supersmarta enheter, molntjänster och utkontraktering är en lockande trend att haka på. Samtidigt skapas nya problem när data kommer på drift utanför organisationens kontroll. Problemen kan orsaka merjobb som kan innebära att det inte blir billigare och smartare.

“I den bästa av världar händer aldrig något som stoppar upp eller ställer till problem”. Det är lockande att ha den romantiska inställningen när nya smarta tekniklösningar dyker upp.

Att lägga datalagring eller drift av IT utanför den egna organisationen innebär också att möjligheten till kontroll minskar. Samma sak gäller med molntjänster där programmen körs i en webbläsare.

Fördelarna är uppenbara men nackdelarna är svåra att överblicka och blir ofta först uppenbara när något går fel.

Stor krasch med konsekvenser

För drygt två år sedan drabbades ett femtiotal stora organisationer och kommuner när datajätten Tieto fick ett allvarligt tekniskt fel. Systemet som dirigerar datamängderna till tusentals servrar var dubblerat av säkerhetsskäl, men båda havererade samtidigt.

För många Tietokunder försvann hela eller stora delar av IT-stödet. Kraschen fick också många följdincidenter, vilket gjorde att återställningen tog lång tid. I många kritiska verksamheter fick manuella metoder börja användas. Det blev ibland extra besvärligt.

Utkontraktering innebär ofta att man sparar in på personal, varav en del av dem som sitter inne med kunskaper om “hur det gjordes förr”.

Viktigt med bibehållen kompetens

– När man säljer iväg sin risk för att man vill slippa tänka på IT-säkerheten får det stora konsekvenser när något väl inträffar. Istället för flera små krascher som är lätta att hantera blir det istället stora krascher, säger Svante Nygren, säkerhetsanalytiker hos Myndigheten för samhällsskydd och beredskap, MSB.

Han pekar på att det är nödvändigt att ersätta den tekniska kompetensen man sparar in på med annan kompetens för upphandling och kontraktsfrågor, en kompetens för förvaltning av IT som istället bäst förläggs på stabsnivå.

Kanske måste till och med två utomstående parter anlitas för att saker ska fungera om den ena får en krasch. De miljonerna det kostar kan vara nödvändiga att räkna in i kalkylen när man utkontrakterar driften.

Ökad risk för insyn

Förutom förlust av data eller åtkomstproblem finns också risker för insyn eller manipulation när en organisation lämnat ifrån sig kontrollen. Det gäller inte minst för molntjänster, från exempelvis Google, Microsoft eller Amazon, som allt fler börjar använda.

Det är jättesmidigt och ibland kanske en skänk från ovan för mindre företag som inte har råd att hålla sig med egen it-säkerhetskompetens. Jättarna med tusentals tekniker är då mångdubbelt bättre.

Viktigt med ansvar och garantier

För stora organisationer, med kritiska samhällsfunktioner eller affärsmässiga hemligheter, är det viktigt att hantera frågan om vem mer som kan komma åt informationen.

Servrarna står inte i Sverige och kanske inte ens i Europa. Och ju större molnleverantör, desto fler hackers finns det som vill testa om det finns säkerhetsluckor.

Då blir frågan om ansvar och garantier viktig, liksom nödvändigheten att flera lager av säkerhet, exempelvis genom senaste krypteringstekniken.

– Kraven blir ofta ett problem för de stora molntjänsterna eftersom vitsen med dem är att de är standardiserade och inte är gjorda för individuella krav, säger Svante Nygren.

Tekniska skydd ofta överskattade

En rad VA-verk runt om i Sverige delar nu ut surfplattor till personalen för att underlätta mobil hantering av drift och underhåll, exempelvis NSVA i Helsingborg och Tekniska verken i Linköping.

Dessa plattor har ofta flera lager av säkerhet, men vad händer om plattan tappas bort eller stjäls? Eller om det slinker in skadlig kod när någon familjemedlem “lånar” den och spelar spel eller “fulsurfar”? Mobila enheter är i högsta grad IT “på drift”.

Det ställer höga krav på att säkerhetstänket hela tiden hålls vid liv, uppdateras och testas. Överskattning av tekniska skydd och underskattning av den svagaste länken, människan, är det vanligaste felet inom IT-säkerhet.

Krisroaming räddar samhällsviktig verksamhet

Post- och telestyrelsen, PTS, har aktivt arbetat för att samhällsviktig verksamhet ska kunna kommunicera när det finns risk för brister i telenätet. Därför finns numera avtal om så kallad krisroaming mellan operatörerna.

Om en operatör skulle vara utslagen ska utvalda och prioriterade användare kunna ansluta med vilken annan operatör som helst. 4000 sådana speciella SIM-kort finns i Sverige som delas ut av länsstyrelserna i krisläge.

PTS vill också att teletrafiken ska kunna ha prioriterade användare när näten är överbelastade. Sådana funktioner finns inte idag och det krävs sannolikt en lag för detta.

PTS genomför också just nu en stor krisövning, Telö 2013, där myndigheter, operatörer och elnätsägare deltar. En simulerad kris i form av en jättestorm används som underlag för att skapa samverkan och hitta saker som måste åtgärdas innan det händer på riktigt.

Text: Tomas Carlsson

Fler nyheter
Mest lästa artiklar
Debatt i fokus
Populära expertsvar
Andra bevakar
Bevaka ämne